Microsoft Threat Modeling Tool-EntschärfungenMicrosoft Threat Modeling Tool mitigations

Das Threat Modeling Tool ist ein Kernelement im Microsoft Security Development Lifecycle (SDL).The Threat Modeling Tool is a core element of the Microsoft Security Development Lifecycle (SDL). Es ermöglicht Softwarearchitekten, potenzielle Sicherheitslücken früh zu identifizieren und zu entschärfen, wenn sie relativ einfach und kostengünstig gelöst werden können.It allows software architects to identify and mitigate potential security issues early, when they are relatively easy and cost-effective to resolve. Daher werden mit dem Tool die Gesamtkosten der Entwicklung erheblich reduziert.As a result, it greatly reduces the total cost of development. Außerdem wurde das Tool nicht speziell für Sicherheitsexperten entwickelt. Es erleichtert die Modellierung von Bedrohungen für alle Entwickler, indem klare Leitlinien zum Erstellen und Analysieren von Gefahrenmodellen bereitgestellt werden.Also, we designed the tool with non-security experts in mind, making threat modeling easier for all developers by providing clear guidance on creating and analyzing threat models.

Laden Sie das Threat Modeling Tool herunter , um noch heute die ersten Schritte zu unternehmen!Visit the Threat Modeling Tool to get started today!

Kategorien von EntschärfungenMitigation categories

Die Gegenmaßnahmen im Threat Modeling Tool sind gemäß dem Sicherheitsrahmen für Webanwendungen in folgende Kategorien unterteilt:The Threat Modeling Tool mitigations are categorized according to the Web Application Security Frame, which consists of the following:

Category (Kategorie)Category BESCHREIBUNGDescription
Überwachung und ProtokollierungAuditing and Logging Wer hat was wann gemacht?Who did what and when? Überwachung und Protokollierung beziehen sich darauf, wie Ihre Anwendung Sicherheitsereignisse aufzeichnet.Auditing and logging refer to how your application records security-related events
AuthentifizierungAuthentication Wer sind Sie?Who are you? Authentifizierung ist der Prozess, in dem eine Entität die Identität einer anderen Entität beweist, in der Regel durch Anmeldeinformationen wie Benutzername und Kennwort.Authentication is the process where an entity proves the identity of another entity, typically through credentials, such as a user name and password
AutorisierungAuthorization Was können Sie tun?What can you do? Die Autorisierung legt fest, wie Ihre Anwendung Zugriffssteuerung für Ressourcen und Vorgänge bereitstellt.Authorization is how your application provides access controls for resources and operations
KommunikationssicherheitCommunication Security Mit wem kommunizieren Sie?Who are you talking to? Durch Kommunikationssicherheit wird gewährleistet, dass die gesamte Kommunikation so sicher wie möglich abläuft.Communication Security ensures all communication done is as secure as possible
KonfigurationsverwaltungConfiguration Management Mit welchem Konto wird die Anwendung ausgeführt?Who does your application run as? Mit welchen Datenbanken stellt sie Verbindungen her?Which databases does it connect to? Wie wird Ihre Anwendung verwaltet?How is your application administered? Wie werden diese Einstellungen gesichert?How are these settings secured? Die Konfigurationsverwaltung bezieht sich darauf, wie Ihre Anwendung diese Betriebsprobleme behandelt.Configuration management refers to how your application handles these operational issues
KryptografieCryptography Wie werden geheime Schlüssel aufbewahrt (Vertraulichkeit)?How are you keeping secrets (confidentiality)? Wie sichern Sie Ihre Daten oder Bibliotheken gegen Manipulationen (Integrität)?How are you tamper-proofing your data or libraries (integrity)? Wie stellen Sie Startwerte für Zufallswerte bereit, die kryptografisch sicher sein müssen?How are you providing seeds for random values that must be cryptographically strong? Kryptografie bezieht sich darauf, wie die Anwendung Vertraulichkeit und Integrität erzwingt.Cryptography refers to how your application enforces confidentiality and integrity
Verwaltung von AusnahmenException Management Wie reagiert Ihre Anwendung, wenn beim Aufruf einer Methode in der Anwendung ein Fehler auftritt?When a method call in your application fails, what does your application do? Wie viel legen Sie offen?How much do you reveal? Geben Sie verständliche Fehlerinformationen an Endbenutzer zurück?Do you return friendly error information to end users? Geben Sie wertvolle Ausnahmeinformationen an den Aufrufer zurück?Do you pass valuable exception information back to the caller? Wird die Anwendung ordnungsgemäß abgebrochen?Does your application fail gracefully?
EingabeüberprüfungInput Validation Woher wissen Sie, dass die Eingaben, die Ihre Anwendung empfängt, gültig und sicher sind?How do you know that the input your application receives is valid and safe? Die Eingabeüberprüfung bezieht sich darauf, wie Ihre Anwendung Eingaben vor der weiteren Verarbeitung filtert, bereinigt oder ablehnt.Input validation refers to how your application filters, scrubs, or rejects input before additional processing. Sie können Eingaben über Einstiegspunkte einschränken und Ausgaben über Ausgabepunkte codieren.Consider constraining input through entry points and encoding output through exit points. Vertrauen Sie Daten aus Quellen wie Datenbanken und Dateifreigaben?Do you trust data from sources such as databases and file shares?
Sensible DatenSensitive Data Wie werden in Ihrer Anwendung sensible Daten behandelt?How does your application handle sensitive data? Sensible Daten beziehen sich darauf, wie Ihre Anwendung Daten behandelt, die im Arbeitsspeicher, im Netzwerk oder in permanenten Speichern geschützt werden müssen.Sensitive data refers to how your application handles any data that must be protected either in memory, over the network, or in persistent stores
SitzungsverwaltungSession Management Wie verarbeitet und schützt Ihre Anwendung Benutzersitzungen?How does your application handle and protect user sessions? Eine Sitzung bezieht sich auf eine Reihe von zusammengehörenden Interaktionen zwischen einem Benutzer und Ihre Webanwendung.A session refers to a series of related interactions between a user and your Web application

Damit können Sie Folgendes identifizieren:This helps you identify:

  • Wo werden die häufigsten Fehler gemachtWhere are the most common mistakes made
  • Wo sind die am besten umsetzbaren Verbesserungen möglichWhere are the most actionable improvements

So können Sie diese Kategorien verwenden, um Ihre Bemühungen um Sicherheit zu konzentrieren und zu priorisieren. Wenn Sie z.B. wissen, dass die häufigsten Sicherheitsprobleme in den Kategorien Eingabeüberprüfung, Authentifizierung und Autorisierung auftreten, können Sie mit diesen Kategorien beginnen.As a result, you use these categories to focus and prioritize your security work, so that if you know the most prevalent security issues occur in the input validation, authentication and authorization categories, you can start there. Klicken Sie auf diesen Link zum Patent , um weitere Informationen zu erhalten.For more information visit this patent link

Nächste SchritteNext steps

Besuchen Sie Threat Modeling Tool-Bedrohungen , um mehr über die Bedrohungskategorien zu erfahren, die das Tool verwendet, um mögliche Entwurfsbedrohungen zu generieren.Visit Threat Modeling Tool Threats to learn more about the threat categories the tool uses to generate possible design threats.